Войти на сбербанк аст с новым сертификатом. Регистрация новой ЭЦП на площадке «Сбербанк-АСТ. Получение новой ЭЦП
Согласно отраслевым рекомендациям по безопасности и целостности данных, компания Salesforce требует обновить текущий протокол шифрования на TLS 1.2 до сентября 2019 года. Примерно в это время начнется выключение протокола шифрования TLS 1.1. Во избежание нестабильной работы экземпляра производственной среды, рекомендуемые действия должны быть выполнены до наступления данной даты. Данная статья содержит всю доступную информацию о выключении протокола шифрования TLS 1.1. Данная статья будет обновляться по мере появления новой информации.
Выключение TLS 1.1 для других служб Salesforce (например, Marketing Cloud, Heroku, Pardot, SalesforceIQ и т. д.) в настоящее время оценивается. Дополнительная информация будет доступна после утверждения планов и крайних сроков.
?TLS расшифровывается как Transport Layer Security (безопасность транспортного уровня). Это протокол, обеспечивающий конфиденциальность и целостность данных между двумя взаимодействующими приложениями. На сегодняшний день данный протокол безопасности является наиболее распространенным, поэтому используется для веб-обозревателей и других приложений, требующих безопасного обмена данными по сети. TLS гарантирует правильность подключения к удаленной конечной точке посредством шифрования и проверки подлинности конечной точки. В настоящее время доступны следующие версии: TLS 1.0, TLS 1.1, TLS 1.2 и TLS 1.3.
Веб-подключения и API-подключения Salesforce, а также доставка эл. почты, используют TLS в качестве основного компонента безопасности. Протоколы HTTPS (веб) и STARTTLS SMTP (эл. почта) используют TLS в качестве основного компонента безопасности.
Операционная система Windows Vista, XP или более ранней версии является несовместимой и не может быть настроена для поддержки TLS 1.1 или TLS 1.2.
Internet Explorer 7 или более ранней (настольной) версии
Internet Explorer 10 или более ранней (мобильной) версии
Microsoft Edge
Mozilla Firefox
Firefox 27 или более поздней версии
Совместимо при использовании TLS 1.2 по умолчанию.
Совместимо, но не по умолчанию.
Чтобы использовать about:config для включения TLS 1.1 или TLS 1.2, обновите значение конфигурации security.tls.version.max на "2" для TLS 1.1 или "3" для TLS 1.2.
Firefox 23 или более ранней версии
Несовместимо при использовании TLS 1.2.
Google Chrome
Совместимо с последней версией (независимо от операционной системы).
Google Chrome 38 или более поздней версии
Совместимо при использовании TLS 1.2.
Google Chrome 30-37
Совместимо при наличии операционной системы Windows XP SP3, Vista или более поздней (настольной) версии, OS X 10.6 (Snow Leopard) или более поздней (настольной) версии, Android 2.3 (Gingerbread) или более поздней (мобильной) версии.
Google Chrome 29 или более ранней версии
Несовместимо при использовании TLS 1.2.
Обозреватель операционной системы Google Android
Android 5.0 (Lollipop) или более поздней версии
Совместимо при использовании TLS 1.2.
Android 4.4 (KitKat)-4.4.4
Может быть совместимо при использовании TLS 1.2 или более поздней версии. Некоторые устройства, оснащенные операционной системой Android 4.4.x, могут не поддерживать TLS 1.2.
Android 4.3 (Jelly Bean) или более ранней версии
Несовместимо при использовании TLS 1.2.
Apple Safari
Safari 7 или более поздней (настольной) версии для операционной системы OS X 10.9 (Mavericks) или более поздней версии
Совместимо при использовании TLS 1.2 по умолчанию.
Safari 6 или более ранней (настольной) версии для операционной системы OS X 10.8 (Mountain Lion) или более ранней версии
Несовместимо при использовании шифрования TLS 1.1 или более поздней версии.
Safari 5 или более поздней (мобильной) версии для операционной системы iOS 5 или более поздней версии
Совместимо при использовании TLS 1.2 по умолчанию.
Safari (мобильная версия) для операционной системы iOS 4 или более ранней версии
Несовместимо при использовании TLS 1.2.
Использование веб-обозревателя
В зависимости от точки доступа, пользователю, пытающемуся получить доступ к организации посредством веб-обозревателя, использующего TLS 1.1 после включения параметра "Требовать протокол TLS 1.2 или более поздней версии для подключений HTTPS", отображается сообщение об ошибке, содержащее рекомендации по дальнейшим действиям для исправления данной несовместимости.
См. сводную таблицу ниже.
| Точка доступа | Сообщение об ошибке пользователя | Язык сообщения |
|
login.salesforce.com |
Сообщение об ошибке отображается только после входа пользователя посредством данной страницы. |
Отображается на языке Salesforce пользователя. |
|
Страница входа для функции "Мой домен" |
Отображается на стандартном языке организации. |
|
|
Сайт или сообщество |
Сообщение об ошибке отображается при посещении данной страницы. |
Отображается на языке Salesforce пользователя-гостя сайта. |
|
Web-to-Lead или Web-to-Case |
Сообщение об ошибке отображается при отправке данных с внешней страницы в систему Salesforce. Отправленные данные архивируются без создания интереса или обращения. Чтобы повторить данные архивные отправки, обратитесь в службу поддержки Salesforce и зарегистрируйте соответствующее обращение. | |
|
Страница входа или восстановления пароля клиентского или партнерского портала (не посредством сайта) | Сообщение об ошибке отображается при посещении данной страницы. |
Отображается на стандартном языке портала. |
Дополнительную информацию см. ниже (в зависимости от используемого обозревателя и операционной системы).
Совместимо с последней версией (независимо от операционной системы).
Java 8 (1.8) или более поздней версии
Совместимо при использовании TLS 1.2 по умолчанию.
Включите TLS 1.2 посредством системного свойства Java (https.protocols) для HttpsURLConnection. Чтобы включить TLS 1.2 для подключений, отличных от HttpsURLConnection, настройте включенные протоколы в созданных экземплярах SSLSocket и SSLEngine внутри исходного кода приложения. При отсутствии возможности внедрения более новой версии Oracle Java рекомендуем временно использовать IBM Java.
Java 6 (1.6) или более ранней версии
Несовместимо при использовании TLS 1.2. При отсутствии возможности внедрения более новой версии Oracle Java рекомендуем временно использовать IBM Java.
Java (IBM)
Совместимо при использовании TLS 1.2 или более поздней версии по умолчанию. При необходимости задайте , если вызываемое приложение или библиотека использует SSLContext.getinstance("TLS").
Java 7 или более поздней версии, Java 6.0.1 Service Refresh 1 (J9 VM2.6) или более поздней версии, Java 6 Service Refresh 10 или более поздней версии
Включите TLS 1.2 посредством системного свойства Java (https.protocols) для HttpsURLConnection и системного свойства Java (com.ibm.jsse2.overrideDefaultProtocol) для подключений SSLSocket и SSLEngine (согласно рекомендациям, указанным в документации IBM). При необходимости задайте com.ibm.jsse2.overrideDefaultTLS=true .
NET 4.6 или более поздней версии
Совместимо при использовании TLS 1.2 по умолчанию.
NET 4.5, 4.5.1 и 4.5.2 не поддерживают TLS 1.2 по умолчанию. Включение может быть выполнено двумя описанными ниже способами.
Способ 1.
Приложения.NET могут включать TLS 1.2 прямо в коде программного обеспечения путем настройки System.Net.ServicePointManager.SecurityProtocol для включения SecurityProtocolType.Tls12 и SecurityProtocolType.Tls11. Ниже приведен пример кода C#.
System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;
Способ 2.Чтобы включить TLS 1.2 по умолчанию без изменения исходного кода, задайте значение "1" параметру DWORD (SchUseStrongCrypto) в следующих двух разделах реестра (при их отсутствии создаются пользователем): "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" и "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319". Несмотря на наличие версии 4.0.30319 в данных разделах реестра, .NET 4.5, 4.5.1 и 4.5.2 также используют данные значения. Тем не менее, данные разделы реестра будут включать TLS 1.2 по умолчанию во всех установленных приложениях.NET 4.0, 4.5, 4.5.1 и 4.5.2 используемой системы. Именно поэтому, рекомендуем проверить данное изменение перед его развертыванием на производственных серверах. Кроме того, данное изменение доступно в виде файла импорта реестра . Тем не менее, данные значения реестра не повлияют на приложения.NET, которые задают значение System.Net.ServicePointManager.SecurityProtocol.
NET 4.0 не поддерживает TLS 1.2 по умолчанию. Чтобы включить TLS 1.2 по умолчанию, установите.NET Framework 4.5 или более поздней версии и задайте значение "1" параметру DWORD (SchUseStrongCrypto) в следующих двух разделах реестра (при их отсутствии создаются пользователем): "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" и "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319". Тем не менее, данные разделы реестра могут включать TLS 1.2 по умолчанию во всех установленных приложениях.NET 4.0, 4.5, 4.5.1 и 4.5.2 используемой системы. Рекомендуем проверить данное изменение перед его развертыванием на производственных серверах. Кроме того, данное изменение доступно в виде файла импорта реестра .
Тем не менее, данные значения реестра не повлияют на приложения.NET, которые задают значение System.Net.ServicePointManager.SecurityProtocol.
NET 3.5 или более ранней версии
Несовместимо при использовании TLS 1.2.
Совместимо с последней версией (при наличии операционной системы, поддерживающей TLS 1.2).
Python 2.7.9 или более поздней версии
Совместимо при использовании TLS 1.2 или более поздней версии по умолчанию.
Python 2.7.8 или более ранней версии
Несовместимо при использовании шифрования TLS 1.2 или более поздней версии.
Совместимо с последней версией (при связывании с OpenSSL 1.0.1 или более поздней версии).
TLS 1.2 включается по умолчанию при наличии OpenSSL 1.0.1 или более поздней версии. Использование символа:TLSv1_2 (предпочтительно) или:TLSv1_1 с параметром ssl_version объекта SSLContext гарантирует выключение TLS 1.1 или более ранней версии.
Ruby 1.9.3 или более ранней версии
Несмотря на отсутствие символа:TLSv1_2 в Ruby 1.9.3 или более ранней версии, Ruby поддерживает его добавление и компиляцию с OpenSSL 1.0.1 или более поздней версии.
Microsoft WinInet
Совместимо при использовании TLS 1.2 по умолчанию.
Windows Server 2008 R2-2012
Совместимо по умолчанию (при наличии обозревателя Internet Explorer 11). При наличии обозревателя Internet Explorer 8, 9 или 10 протокол TLS 1.2 включается пользователем или администратором.
Несовместимо при использовании TLS 1.2.
Безопасный канал Microsoft
Совместимо с последней версией.
Windows Server 2012 R2 или более поздней версии
Windows 8.1 или более поздней версии
Совместимо при использовании TLS 1.2 по умолчанию.
Windows Server 2012
По умолчанию протокол TLS 1.2 выключен, но доступен при его поддержке приложением. Протоколы TLS 1.1 и TLS 1.2 могут быть включены по умолчанию внутри реестра файла импорта реестра .
Windows Server 2008 R2
Совместимо по умолчанию в режиме клиента (при наличии обозревателя Internet Explorer 11). При отсутствии обозревателя Internet Explorer 11 или при необходимости подключения системы Salesforce к службе, выполняемой в системе данного типа, протокол TLS 1.2 может быть включен по умолчанию внутри реестра . Кроме того, данные параметры реестра доступны в виде файла импорта реестра .
Windows Server 2008 или более ранней версии
Windows Vista или более ранней версии
Несовместимо при использовании TLS 1.2.
Windows Server 2012 R2 или более поздней версии
Windows 8.1 или более поздней версии
Совместимо при использовании TLS 1.2 по умолчанию.
Windows Server 2008 R2 SP1 и 2012
Как помочь конечным пользователям в управлении данным изменением?
При получении доступа к системе Salesforce посредством TLS 1.1 пользователям (включая внутренних и внешних участников сообщества) может отображаться уведомление о необходимости обновления веб-обозревателя или его параметров.
Для этого, воспользуйтесь указанными ниже методами.
Пакет AppExchange.
Пакет TLS 1.1 Compatibility User Message будет доступен в каталоге AppExchange в ближайшее время. Данный пакет предназначен для доставки пользователям TLS 1.1 внутрипрограммных уведомлений, содержащих подробные инструкции по обеспечению совместимости с TLS 1.2.
Контроллер страницы Visualforce.
При наличии опыта разработки Visualforce и Apex проверьте значение ApexPages.currentPage().getHeaders().get("CipherSuite"), если не является нулевым, для подстроки " TLSv1 " (включая начальные и конечные пробелы). При его наличии используется TLS 1.1, а страница Visualforce может отображать уведомление о необходимости обновления веб-обозревателя или его параметров.
Как определить пользователей организации, выполняющих подключения TLS 1.1?
Данная статья Knowledge описывает три способа определения пользователей, подверженных данному изменению (включая журнал входов, отчеты и Workbench):
ПРИМЕЧАНИЕ. Отчет по журналу входов для всех пользователей организации может просматриваться и выполняться только пользователями с полномочием "Управление пользователями" . При отсутствии полномочия "Управление пользователями" обратитесь к администратору, имеющему необходимые полномочия на выполнение отчета "Журнал входов" для всех пользователей.
Как выполнить тестирование перед выключением TLS 1.1?
Новый параметр консоли критических обновлений "Требовать протокол TLS 1.2 для подключений HTTPS" будет доступен в ближайшие недели.
Что делать при использовании перехватывающего HTTPS прокси-сервера в сети?
Некоторые сети перехватывают исходящий трафик HTTPS путем использования прокси-сервера, создающего собственные сертификаты, поэтому обмен данными с системой Salesforce и другими конечными точками, который не шифруется, может тщательно контролироваться. Данные прокси-серверы создают собственные подключения TLS к системе Salesforce. Сети, использующие данный тип прокси-сервера, должны гарантировать поддержку TLS 1.2 и выбор TLS 1.2 при подключении к системе Salesforce. Отклонения от стандартного режима работы могут возникать при условии, что прокси-сервер не поддерживает TLS 1.2 или выбирает TLS 1.1 вместо TLS 1.2 при подключении к удаленным конечным точкам.
- Запретите перехватывающему HTTPS прокси-серверу перехватывать подключения HTTPS к субдоменам *.salesforce.com и *.force.com системы Salesforce. Данный алгоритм является предпочтительным, так как обеспечивает сквозную конфиденциальность между веб-обозревателями конечных пользователей и системой Salesforce.
- Если перехват HTTPS требуется политикой компании, либо не может быть удален или исключен по иным обстоятельствам, воспользуйтесь новой версией прокси-сервера, поддерживающей TLS 1.2 или, как минимум, TLS 1.1.
- Если перехватывающий HTTPS прокси-сервер не поддерживает TLS 1.2, но выбирает TLS 1.1 путем его использования в исходных сообщениях ClientHello, разрешите конфигурации прокси-сервера выбирать TLS 1.2 вместо TLS 1.1 при подключении к субдоменам *.salesforce.com и *.force.com системы Salesforce.
Новый параметр консоли критических обновлений "Требовать протокол TLS 1.2 для подключений HTTPS в сообществах и на сайтах Salesforce" будет доступен в ближайшие недели.
Прежде чем тестировать данное обновление в производственной организации, клиентам будет рекомендоваться его тестирование в безопасной среде для подтверждения сквозной совместимости.
Чтобы подготовиться к включению TLS 1.2, рекомендуем заранее проверить последствия выключения TLS 1.1 для пользователей организации посредством нового параметра консоли критических обновлений: "Требовать протокол TLS 1.2 или более поздней версии для подключений HTTPS".
Поддержка клиентом агента Email-to-Case протокола TLS 1.2 и более новых версий возможна только после обновления Java.
Обновите среду Java до версии 8, как указано в таблице ниже, чтобы обеспечить работоспособность Email-to-Case.
ПОСЛЕДСТВИЯ ДЛЯ ПРИЛОЖЕНИЙ APPEXCHANGE
Определите совместимость приложений AppExchange с процессом выключения TLS 1.1 компанией Salesforce путем налаживания непосредственного контакта с поставщиком и/или партнером.
